Acceso a la documentación y publicaciones

Ante esta institución compareció don (…) presentando una queja en relación con diversos aspectos relativos al tratamiento de datos sanitarios, en el marco de un proceso judicial, que quedó registrada con el número arriba indicado, y de la que resultó el inicio de actuaciones ante el Consejo General de Poder Judicial.

Consideraciones

1. El interesado manifestaba su disconformidad con la resolución del Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ), de 23 de septiembre de 2022, que había desestimado su recurso de reposición contra la resolución por la que se archivó el expediente de protección datos en relación con su queja por el tratamiento de sus datos personales de carácter sanitario con fines jurisdiccionales.

2. El procedimiento judicial en cuestión, iniciado en el año 2020, era un procedimiento de divorcio contencioso con hijos menores de edad, en el que el interesado tenía la condición procesal de demandado y en el que la parte demandante, la madre de los menores, había solicitado la adopción de medidas provisionales urgentes, instando que se solicitara al Servicio Gallego de Salud (SERGAS), a efectos de prueba, la remisión de la historia clínica del demandado, en especial psiquiátrica y psicológica. Dicha solicitud fue admitida por el órgano judicial, pero limitada a las atenciones psicológicas/psiquiátricas del demandado durante el último año.

3. El SERGAS, sin embargo, no tuvo en cuenta las limitaciones que se habían previsto por el órgano judicial, y remitió información del paciente desde el año 2013, incluyendo el cuaderno clínico de psiquiatría, que contenía la transcripción de las conversaciones del interesado, en tanto que paciente, con su psiquiatra.

4. Toda esa información, recibida en el juzgado, se trasladó íntegramente a la parte contraria, sin que conste que se hubiera comprobado si respondía a lo que se había solicitado, tanto desde el punto de vista temporal (el último año) como de contenido.

5. El interesado presentó una reclamación por vulneración de su derecho fundamental a la protección de datos personales ante la Dirección de Supervisión y Control de Protección de Datos del CGPJ. Entre otras cuestiones, argumentaba que se habían trasladado dichos datos sanitarios personales a la otra parte, sin aplicar el principio de minimización.

6. La Dirección de Supervisión y Control de Protección de Datos analizó la eventual vulneración del derecho fundamental a la protección de datos personales, resolviendo que no se observaba tal vulneración, al considerar que, de una parte es el juez del proceso al que le corresponde determinar el alcance de la información sanitaria que se ha de recabar, de manera que ello quedaba dentro de la función jurisdiccional, y de otra, que el interesado debió de haber manifestado su oposición a la amplitud de datos recibidos en el seno del proceso judicial. Con base en tales consideraciones acordó, el 26 julio de 2022, el archivo de actuaciones.

7. Contra la citada resolución, el interesado planteó recurso de reposición número 8/2022, que fue desestimado.

8. La queja del interesado se centra en que no ha visto correctamente defendido su derecho a la protección de datos por parte de la Dirección de Supervisión y Control de Protección de Datos, y que carece de medios económicos para plantear el correspondiente recurso contencioso-administrativo ante el Tribunal Supremo.

9. Esta institución consideró preciso conocer, tanto la actual regulación del tratamiento de los datos clínicos en el proceso judicial, como la forma en que se están llevando a cabo las medidas preventivas y de supervisión de dichos datos. Se trata de unos datos especialmente sensibles, en un ámbito de múltiples implicaciones: la tutela judicial efectiva, los derechos de los pacientes, las obligaciones legales del médico y el derecho fundamental a la intimidad y a la protección de datos personales.

10. Además, en este concreto supuesto, lo que se plantea es una quiebra de la protección de datos sanitarios, enlazada con la peculiaridad del traslado de unos cuadernos clínicos protegidos por el principio de confidencialidad paciente-psiquiatra, siendo dicha confidencialidad la base de la relación terapéutica.

11. Por ello esta institución se dirigió a ese Consejo General del Poder Judicial con fecha de 16 de marzo de 2023 solicitando información sobre tres aspectos:

a. La labor que se realiza, con base en el artículo 236 octies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, esto es, potestades inspectoras, de sensibilización de los profesionales de la Administración de Justicia y de informe de los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la oficina judicial.

b. La experiencia práctica en la aplicación y supervisión de las operaciones de tratamiento de datos sanitarios efectuados con fines jurisdiccionales por los juzgados, tribunales y la oficina judicial, a fin de garantizar la correcta ponderación de los distintos derechos fundamentales afectados. En particular, se solicitaba conocer si se estaba realizando un seguimiento sobre si las autoridades judiciales, estaban recabando los datos sanitarios con la suficiente motivación y delimitación, y si se estaban comprobando que los datos que se facilitan no excedieran de los solicitados por la autoridad judicial.

c. Si existen en las oficinas judiciales los correspondientes estudios de evaluación del impacto de las operaciones de tratamiento datos personales con fines jurisdiccionales, pieza clave en la normativa de protección de datos personales.

12. Por escrito de 2 de junio de 2023, se recibió la contestación del Presidente del Consejo General del Poder Judicial por el que se trasladaba el informe elaborado por el Director de Supervisión y Control de Protección de Datos, de fecha 1 de junio de 2023.

13. En el citado informe, se recogen, en primer lugar, algunos fragmentos de la resolución que se dictó en relación con la reclamación planteada por el interesado. En los mismos se alude a que, en el ejercicio de sus competencias como autoridad de protección de datos, el Consejo General del Poder Judicial, al conocer de las reclamaciones formuladas en esta materia, sigue la doctrina  del Tribunal Constitucional relativa  a los límites de los derechos fundamentales y a la necesaria compatibilidad del derecho fundamental a la protección de datos personales consagrado en el artículo 18.4 de la Constitución, con los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, entre los que se  encuentra el derecho a la tutela judicial efectiva sin que se pueda producir indefensión.

Con base en la citada jurisprudencia constitucional y en el propio Reglamento de Protección de Datos Personales, en la resolución recurrida se concluía que:

«No puede existir vulneración de la normativa de protección de datos cuando, como en este caso, los términos concretos en que pueda verse afectado el derecho a la protección de datos personales resultan de la ponderación de los derechos y bienes jurídicos constitucionalmente protegidos concurrentes, realizada en el seno de un procedimiento judicial, en la que, al cabo, se otorga prevalencia al otro derecho fundamental presente. En este caso, según se desprende de cuanto se ha señalado, es el derecho de tutela judicial efectiva sin que pueda producirse indefensión (artículo 24 de la Constitución española), en su vertiente del derecho de las partes a la utilización de los medios de prueba pertinentes para su defensa, el que, concurriendo con el de protección de datos personales (artículo 18.4 de la Constitución española), actuaría precisamente como límite de este último».

14. Seguidamente se informa, en cuanto al ejercicio de las potestades inspectoras, que la Comisión Permanente del Consejo aprobó, con fecha de 19 de abril de 2018, «la propuesta del Comité de Protección de Datos del propio CGPJ relativa a la remisión a los/as presidentes/as de los tribunales superiores de justicia del documento elaborado por el Servicio de Inspección, en el ámbito relativo a la protección de datos personales, sobre los distintos puntos que son objeto de examen por dicho Servicio en las inspecciones presenciales que realiza en los órganos judiciales y las diversas propuestas que se efectúan como consecuencia de la constatación de cualquier disfunción en la materia, y su difusión entre los órganos judiciales de sus respectivos ámbitos territoriales. El referido documento no contenía ningún punto referido específicamente a los tratamientos de datos sanitarios con fines jurisdiccionales».

15. En cuanto a los informes de los códigos de conducta a los que se refiere el artículo 236 octies de la Ley Orgánica del Poder Judicial, se indica que la elaboración y actualización de los citados códigos corresponde, en virtud de lo dispuesto en el apartado 3 del artículo 236 sexies LOPJ, al Ministerio de Justicia, previo informe del Consejo General del Poder Judicial y, en su caso, de la Fiscalía General del Estado, indicando que «sin que a la presente fecha se haya sometido a informe del CGPJ ningún código de conducta con la referida finalidad».

16. En cuanto a la promoción de la sensibilización de los profesionales de la Administración de Justicia, indica que se realiza a través de diferentes instrumentos, citando, la difusión de las funciones del CGPJ como autoridad de protección de datos, fundamentalmente a través de su página web; la realización de cursos en materia de protección de datos dirigidos a los miembros de la carrera judicial; y la contestación de consultas e informes sobre la materia, a instancia de los propios interesados, las administraciones con competencias en materia de Administración de Justicia y los responsables de los tratamientos de datos, esto es los órganos jurisdiccionales.

17. Asimismo, se informa que las reclamaciones formuladas ante ese Consejo General del Poder Judicial en las que se cuestionan los tratamientos de datos sanitarios, en el periodo 2016 a 2023, se sitúan en torno al cinco por ciento del total (21 sobre 401), que de las resoluciones adoptadas en esas 21 reclamaciones, han sido de inadmisión en 3 casos y de archivo en los 18 restantes, «si bien en tres de estos últimos se señalaron determinadas medidas a adoptar por los órganos judiciales o recomendaciones en orden a garantizar adecuadamente la atención de los principios rectores de los tratamientos de datos en los tratamientos con fines jurisdiccionales».

18. En el informe se insiste, respecto de la experiencia práctica en la aplicación y supervisión de las operaciones de tratamiento de datos sanitarios efectuados con fines jurisdiccionales, en la necesidad de respetar la independencia judicial y se alude a que la manifestación quizás más patente de los términos en que el derecho de protección de datos personales debe compatibilizarse con el de tutela judicial efectiva se contiene en la incorporación expresa del principio de minimización de datos a la regulación de esta materia en la Ley Orgánica del Poder Judicial, cuyo artículo 236 quinquies, apartado 1, en la redacción dada al mismo por la disposición final tercera de la Ley Orgánica 7/2021, establece lo siguiente: «las resoluciones y actuaciones procesales deberán contener los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, en especial para garantizar el derecho a la tutela judicial efectiva, sin que, en ningún caso, pueda producirse indefensión».

Se señala que la función del Consejo General del Poder Judicial, como autoridad de protección de datos en los tratamientos de datos con fines jurisdiccionales, ya se trate de datos sanitarios o de otro tipo, consiste en constatar que se ha producido efectivamente el juicio de ponderación entre los derechos fundamentales que pudieran entrar en conflicto y formular las medidas que, desde la perspectiva de la protección de datos personales, fuera recomendable adoptar, en su caso, para la más adecuada atención de los principios rectores de los tratamientos de datos.

19. En cuanto a la existencia en las oficinas judiciales de concretos estudios de evaluación de impacto de los tratamientos de datos que tienen lugar en las mismas, no le consta al Consejo General del Poder Judicial su existencia.

No obstante, se indica que debe tenerse presente que la determinación de las actuaciones a desarrollar en las oficinas judiciales, con los tratamientos de datos que comportan, viene establecida en gran medida por las normas procesales de aplicación a cada procedimiento judicial, por lo que entiende la Dirección de Supervisión y Control de Protección de Datos, resultaría de aplicación la previsión contenida en el apartado 10 del artículo 35 del Reglamento general de protección de datos, que establece:

«10.Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o el conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación, excepto si los estados miembros consideran necesario proceder a dicha evaluación previa a la actividades de tratamiento».

20. Según esta última conclusión, no sería preciso una evaluación de impacto de cada órgano judicial, por existir ya una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general.

21. De las aclaraciones proporcionadas desde ese Consejo General del Poder Judicial, se concluye que es preciso el inicio de actuaciones con esa Secretaría de Estado de Justicia, dado que, de conformidad con el artículo 236 sexies LOPJ, corresponde al Ministerio de Justicia, actualmente, Ministerio Presidencia, Justicia y Relaciones con las Cortes, la elaboración y actualización de los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la oficina judicial y fiscal, adecuando los principios de la normativa general a los propios de la regulación procesal y organización de la oficina judicial y fiscal.

22. Asimismo, se observa que gran parte de los problemas que han podido surgir en el caso concreto que plantea el interesado, pudieran encontrarse en la necesidad de que el juez, en tanto que responsable del tratamiento de datos, debía efectuar un control de oficio de la información sensible recabada de la Administración sanitaria (el SERGAS), de manera que, sin entrar en el ámbito de su independencia para valorar las pruebas, se hacía preciso examinar si los datos proporcionados por la Administración excedían de solicitado, y si el contenido suministrado podía ser distribuido a las partes directamente, o previa minimización de determinados datos.

23. El deber de protección de los datos personales a lo largo del proceso judicial, emana del propio Reglamento General de Protección de Datos que en su artículo 24 atribuye determinadas responsabilidades al responsable del tratamiento.

24. Justamente, esta labor de minimización de datos y de custodia de los datos «en cadena» sería una de las medidas esenciales que tendrían que preverse en todo caso y que debería tenerse en cuenta en la correspondiente evaluación de impacto.

25. El Reglamento General de Protección de Datos, que es directamente aplicable a este ámbito, contempla que las evaluaciones de impacto se lleven a cabo «antes del tratamiento» en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados. En el caso de datos sanitarios, que son datos especialmente protegidos, se considera obligatorio que exista la correspondiente evaluación de impacto.

26. La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos y establecer una respuesta a los riesgos detectados, adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

27. Tal y como ya se ha indicado, en la respuesta recibida, el Director de Supervisión y Control entiende que no sería precisa una evaluación de impacto del tratamiento de datos por las oficinas judiciales, pues la determinación de las actuaciones a desarrollar por éstas ya viene establecida en gran medida por las normas procesales de aplicación a cada procedimiento judicial, «por lo que resultaría de aplicación la previsión contenida en el apartado 10 del artículo 35 del Reglamento General de Protección de Datos».

28. Se han examinado las reformas que en los últimos años se ha llevado a cabo en la normativa procesal nacional y no consta a esta institución que exista una evaluación de impacto general que abarque la relativa a la protección de datos con fines jurisdiccionales. Ello teniendo en cuenta que el Reglamento 2016/679, se aprobó el 27 de abril de 2016, y es aplicable desde del 25 de mayo de 2018.

29. Se debe tener presente que dicho Reglamento General de Protección de Datos es directamente aplicable en este ámbito, como indica su considerando 20, y ha puesto de manifiesto la jurisprudencia del Tribunal de Justicia de la Unión Europea (sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, apartado 25 y más recientemente la sentencia de 2 de marzo de 2023, Norra Stockholm Bygg, C-268/21, ECLI:EU:C:2023:145).

30. Existe, pues, la obligación del juez, en tanto que responsable del tratamiento de datos, de tener en cuenta los intereses de los afectados y de ponderarlos en función de las circunstancias de cada caso, del tipo de procedimiento de que se trate y teniendo debidamente en cuenta las exigencias derivadas del principio de proporcionalidad y, en particular, las derivadas del principio de minimización de datos (artículo 5.1 c RGPD).

31. A la luz de la queja concreta presentada, y con el fin de deslindar correctamente esta obligación de examen previo, para garantizar el derecho de protección de datos, del derecho a la tutela judicial efectiva, se emite, con esta misma fecha, dos recomendaciones al Consejo General del Poder Judicial:

«1º Recordar a los responsables del tratamiento de los datos con fines jurisdiccionales que deben llevar a cabo los estudios pertinentes para contar con la evaluación de impacto prevista en el artículo 35 del Reglamento General de Protección de Datos (Reglamento 2016/679) y contar así con una herramienta que permita evaluar, de manera anticipada los potenciales riesgos a los que están expuestos los citados datos personales, y así poder establecer una respuesta a los riesgos detectados, adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

2º Recordar a los responsables del tratamiento de datos con fines jurisdiccionales, que deben dejar constatado que se ha procedido al examen de la necesidad y de la proporcionalidad de la medida, de conformidad con el principio de minimización de datos a que se refiere el artículo 5, apartado 1, letra c) del citado Reglamento General de Protección de Datos».

32. Finalmente, también se considera necesario que se estudie desde esa Secretaría de Estado de Justicia la conveniencia de introducir, en la normativa procesal vigente, las previsiones necesarias para que dicho examen de adecuación y pertinencia quede expresamente contemplado.

Decisión

En el ejercicio de las responsabilidades que le confieren al Defensor del Pueblo los artículos 54 de la Constitución y 1 y 9 de la Ley Orgánica 3/1981, de 6 de abril de 1981, reguladora de esta institución, y al amparo de lo dispuesto en el artículo 30.1 de aquella Ley Orgánica, formular a V.E. las siguientes:

RECOMENDACIONES

1. Que se proceda, a la mayor brevedad posible, conforme a lo previsto en el apartado 3 del artículo 236 sexies de la Ley Orgánica del Poder Judicial, a la elaboración de los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial y fiscal, adecuando los principios de la normativa general a los propios de la regulación procesal y organización de la oficina judicial y fiscal.

2. Que se valore la conveniencia de introducir, en la normativa procesal vigente, las previsiones necesarias para que el responsable del tratamiento de datos personales con fines jurisdiccionales deje constancia, en la tramitación procesal, de que se ha procedido al examen de la necesidad y de la proporcionalidad de la medida, de conformidad con el principio de minimización de datos a que se refiere el artículo 5, apartado 1, letra c) del citado Reglamento General de Protección de Datos.

En consecuencia, se solicita se informe si se aceptan o no las Recomendaciones formuladas y, en caso negativo, las razones que se estimen para su no aceptación.

Le saluda muy atentamente,

Ángel Gabilondo Pujol

Defensor del Pueblo